作者: 来源: IT168 http://www.netadmin.com.cn/kt_ar ... categ_code=10071003( i3 w8 i. p8 h6 K. l- Z$ l
4 k5 D b& E3 _
一般来说不管是大公司还是中小企业都会非常重视自己的网络安全,根据可靠资料显示表明造成计算机安全隐患的最主要原因有两个,一个是操作系统自身的漏洞以及使用者下载非法程序造成的,而另一种则是因为使用者使用带有病毒的移动介质(诸如U盘,移动硬盘,MP3,数码相机等)造成的,当用户把移动介质插在计算机上后病毒会迅速从移动设备上传播到本地计算机硬盘中。. K# D3 [/ o6 v. }# Y, L( y9 z
0 m0 ]% n( L. D7 Z- Q, M 第一种情况我们可以通过启用系统更新来避免,而第二种情况一直没有好的处理方法,毕竟日常工作中需要频繁的交换文件,这时不可避免的需要使用移动介质。不过对于一些企业的内部机房来说,可能平时只需要进行一些培训或者上网浏览操作,并不需要使用移动介质来传输数据,这时我们就可以通过禁用USB接口来实现对移动介质上病毒的防治目的。
. j( F" x" [$ e* k# L) i" O6 A
8 `" `. V0 v, F4 e" a; K0 \ 一,什么样的设备才起作用?
- Z1 Q: U/ [ u( Z
2 }4 |- j* n' X6 c: F 本文将为各位读者介绍通过权限设置的方法防止USB设备被随意使用的方法,但是通过此方法后我们仍然可以使用一些USB外设,诸如USB打印机和扫描仪。被禁用的仅仅是移动存储介质——U盘、移动盘、MP3、数码相机等。所以说该方法一点也不会影响到日常工作。0 Q# s" `9 r; L" b1 d9 m0 ^
. t3 z: n+ J8 T" S4 C! _5 n+ s 二,文件权限法:! y& r& F7 `# e5 y0 _2 H
4 P; R! n- W# _
文件权限法说白了就是对管理USB存储设备的系统文件权限加以限制,把%SystemRoot%InfUsbstor.pnf和%SystemRoot%InfUsbstor.inf两个文件的“完全控制”权限去掉。该方法适用于电脑新安装后从来没有接过USB存储设备(即一次都没接过U盘之类的介质,当然打印机扫描仪等等不带存储功能的产品不算)。+ u- k1 P5 ~0 s" o+ Z
: r9 b. W6 C9 e: h$ o# e8 E* R/ F 第一步:启动Windows资源管理器,然后找到%SystemRoot%Inf文件夹。(如图1)! Q: {2 m( `; g& G7 M! D" u
- r9 r$ t$ b# Q( q
2 s1 f: O5 i% N
图1(点击看大图)
, n! {9 g$ w- m5 h& b* D5 N
, |' o' m( d7 j, z+ Y2 h2 N8 S
0 s7 e& e0 A. V 第二步:右键单击“Usbstor.pnf”文件,然后单击“属性”。 (如图2)
3 D2 _) J# U3 q, C' o
4 Z9 K( O6 R& \7 @% }+ \ 0 K# _/ L1 G: Y1 P7 C9 S0 N
图2(点击看大图) ; M2 t$ G0 H |3 O4 N9 u
) g8 V+ B8 A) z# _, ` j' B3 b5 B0 {4 m K$ k% E& o
第三步:如果你没有看到“安全”标签,说明你的计算机C盘的文件格式不是NTFS,一般来说是FAT32。只有我们将该磁盘分区改为NTFS格式后才可以对某个文件或文件夹设置权限。我们可以在相应的C分区上点鼠标右键选择“属性”来查看是FAT32文件系统还是NTFS文件系统。(如图3)
) T5 S7 h5 \) N/ ]& P" [
7 D" y. h' g0 m$ j ]
! G/ t& `2 y1 d; Y图3(点击看大图) " F$ A* x/ n: h4 Y
- k6 ~3 c8 m+ N6 ?- q0 [
+ \+ S& d1 ^' k4 l% ~. m. Z, D 第四步:如果我们的C盘分区文件系统是FAT32那么可以执行convert命令将其进行转换。具体方法是通过“开始->运行->输入CMD”进入命令行模式,然后键入convert c: /fs:ntfs。这样系统将自动把该分区的文件系统进行修改。不过由于是对C盘系统盘进行操作,所以转换过程需要在“下一次重新启动系统时才会运行”。(如图4). i. _1 b" G/ n, D" \
8 [# H% H S; ?) }6 s
( P5 r8 v4 v4 T2 a, `5 V图4(点击看大图)
. z& L K5 P2 `7 D. o/ u1 h
+ L% p9 O; z( J% |
) J9 u$ G" f, O9 t1 B5 K 第五步:但是有的时候即使你的系统转换成NTFS格式也没有出现安全标签,特别是对XP系统来说,当我们在想设置共享权限的文件夹上点鼠标右键选择“共享和安全”后出现的设置窗口中却没有“安全”标签。(如图5),要想共享只能把该文件夹或文件复制到“共享文档”中。实际上这是因为我们使用了简单共享方式,要想取消这种简单共享方式需要打开“我的电脑”,在上方菜单中选择“工具->文件夹选项”。在“查看”标签中找到“使用简单文件共享”,将其前头的对勾去掉即可。(如图6)
$ i+ x/ g- o n7 a; z5 ]3 |/ z) q2 k6 W# Z
3 `0 I% k5 C0 n M8 t7 {
图6(点击看大图)
$ Q. G/ _5 G5 t+ y0 l! ?) \# l/ u7 _2 [
. n* e8 q6 D% d2 S6 U) F
第六步:确定完毕后我们还需要设置一下“网络安装向导”。在文件夹属性中的共享标签点“网络安装向导”。(如图7)然后在网络安装向导中按照提示一步步进行即可。(如图8)4 C' I7 y" _( D2 K- r! z8 |, Q
9 Z. u; R# G1 W# P9 D4 L i
$ I; m# n) G& v5 N图7(点击看大图)
( {4 {) d9 J/ }% w6 f4 a
. Y. E. i3 o& J
8 j D0 K: b! c/ Z' Y: U 3 I3 k; J6 V, F
图8(点击看大图) " ?5 w6 X1 K. v" c
& F( F1 k ~ J. r( ~
* {7 C# ^9 D j7 K& i& t+ m# g 第七步:设置好网络安装向导后我们就可以和WINDOWS2000一样通过文件夹属性中的“共享”标签和“安全”标签来分配访问该目录的用户及其权限了。(如图9)# O! q! H6 j/ r6 A8 }# s
1 x; H0 f6 r# L
: J- ]5 [- a* M( f% ?6 i图9(点击看大图) " H0 y" K' \1 t4 ~
$ f/ D6 A: M0 A& @: P! t! a/ ?
8 x" {% E# l' _) L% U H; m, w; y0 V
小提示:4 Z V- q/ p3 t! Y
/ } @+ D; h2 n) Z# [ 默认情况下如果你是用administrator管理员帐户登录的系统,那么他是不能够被修改成没有权限访问系统文件夹中的数据的。要想禁用USB存储设备必须单独建立一个另外的帐户,哪怕他是管理员组的帐号也可以通过上面介绍的方法将其对于“Usbstor.pnf”文件的完全控制权限剥夺。
" c( a+ ~8 q9 k! u' F6 v$ [0 C- S, y" w8 y+ H
第八步:继续上面的设置工作,右键单击找到的“Usbstor.pnf”文件,然后单击“属性”。在安全标签中的“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组,当然你也可以通过“添加”按钮对单独用户进行设置。 , s7 ^. g7 U% W; ^8 b
/ @" v8 Z- B1 J8 V9 X
第九步:在“组或用户权限”列表中,单击已选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。(如图10). |7 N2 ^1 @+ u& b' w. E
& x+ @! r+ r& f0 \; q& _
$ f3 |1 l; `9 |- Q7 t图10(点击看大图) / p& H% ]% Z; d& T2 P& @
( F' @' N, e$ ~$ L! y- m
+ r, N I4 x8 r1 P( ~- J' h
小提示:8 C# P: p. Y9 N* P& f
# x; ?: u1 r3 {8 W2 f; ~# G3 Y+ G 在进行此步操作时还需要注意一点的是要将系统帐户也添加到“拒绝”列表中。- m3 Y) M3 X" F) @9 W1 Z
* X5 F. h+ r' w8 l, q
第十步:像寻找“Usbstor.pnf”文件及设置权限一样,我们还需要对“Usbstor.inf”进行同样的设置,右键单击“Usbstor.inf”文件,该文件也是存在于系统文件夹中的INF目录中,然后单击“属性”。(如图11)
# E& _# I; I. y7 n+ \
! h2 O e( ?! ~/ H8 y 2 i& w3 g1 g% V0 P: I
图11(点击看大图) / y6 l: S1 @; p7 b
4 J: c1 h1 n- Z. R/ f! V3 t1 A. r
% D6 X0 o9 R. y2 l) Z8 s0 f( q 第十一步:在弹出的设置窗口中单击“安全”选项卡。 在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组,同样也可以利用“添加”按钮对单独用户进行设置。 。然后在“组或用户权限”列表中,单击已选中“完全控制”旁边的“拒绝”复选框,最后单击“确定”。(如图12)" e" H; a, R0 N: Y; X
+ E7 a( j& r E5 f5 J
( d$ u8 o& d7 N' ?3 I: K图12(点击看大图) $ N3 a: A# {+ V7 b) a& m
! T' l: _4 X3 r _: @7 u9 B
: W4 r e" p( Z5 |5 v: i 当我们顺利的完成了对这两个文件的权限分配操作后,使用该被设置了对此两个文件拒绝访问权限的用户就无法再使用USB存储设备了,当把U盘或移动硬盘插到计算机的USB接口时只会收到“权限访问拒绝”的提示。当然正如上文所说连接USB接口的打印机或扫描仪都是没有问题的,一切正常,一点也不影响使用。2 [2 y- U& X) P$ ^: V7 t
1 t" @4 H. z# \5 a% _# l' {7 S; N三,注册表限制法:
) \+ P" H% m% G; F! Q9 h" p" \4 `. ?
! X7 o! C0 }8 P6 H6 T8 _( i 如果电脑已经用过USB存储设备,那么禁止起来就更加方便了,直接使用注册表文件进行导入操作即可。' d2 q$ |; l+ Z4 d( h4 h
; |+ n! L6 ~, M/ | 禁止使用USB存储设备的注册表内容如下:
& R% f! } n; L7 i% Q. m Windows Registry Editor Version 5.00
5 V; Q# g8 ~! {# U' w p
: f& ^5 K- [- T* e+ G0 P[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]! }$ q1 B( V y: t9 K- Y5 B6 b
"Type"=dword:00000001
* H( J4 t. U1 C"Start"=dword:00000004
. c6 f8 A" |$ R; B# Y9 z"ErrorControl"=dword:00000001! b p8 j4 G3 i }: T$ ]% C
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,5 c8 }! c. _2 M$ n7 p1 x1 [+ J
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,
5 x2 _+ h4 L7 m2 Q0 L: D 00,52,00,2e,00,53,00,59,00,53,00,00,00
; h. h$ K" H; c* P0 [) W"DisplayName"="USB 大容量存储设备"- C! Q# P1 K$ z7 ?( M
, W4 {/ ?8 f9 w5 t$ ]' {[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTORSecurity]
4 s7 B' D8 w7 C/ V"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,- s( E- }* F% F. o/ |
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,
0 j4 {; ~# O" m% L: t. C, ]: ^ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,
( ~ o3 z! \2 L6 p! I" e 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,
! ~4 g: J( ]9 K4 T 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,
! ]. g# ?5 ^$ x% Q' n7 p 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,
" W# \! N N. A% ` 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
, G7 ~- I0 D2 g) @/ X& o# {" B: Z! L& O j* q& p, T: S2 K
我们将上面的代码保存成一个以REG为后缀的文本文件,然后双击该文件导入注册表就完成了禁止该计算机使用USB存储设备的操作。所有用户都无法用USB存储设备了,这点和上面仅仅是根据用户或用户组来限制的方法是不同的,效果更好应用范围更广。3 L4 ?, T" d9 _# n
% @: b8 J1 L" u3 K% X% ^3 K2 \2 K
开启USB存储设备使用权限的注册表内容如下:* n1 R2 v% g* G/ i, y" @8 B) g5 N
Windows Registry Editor Version 5.00
! E. G0 R- K9 P' q9 ^! q
1 x, C1 W4 h2 G" e[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]& X' {$ U7 h# k! @, ^$ C/ Q# [/ _- [
"Type"=dword:00000001
. S& q. m- D% z* x- h"Start"=dword:00000003
) A' F/ k% n6 R% ~"ErrorControl"=dword:00000001
& o3 J. ~1 ]$ m% `6 [. h"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,
, D9 y/ U5 p5 {" w 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,5 |3 u/ c5 u7 s$ Y
00,52,00,2e,00,53,00,59,00,53,00,00,00( _0 j6 w% O0 _1 Q) t
"DisplayName"="USB 大容量存储设备"
- M2 ]! ?6 L. \
; @0 {" J3 D$ Y# I/ J[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTORSecurity]
* Y: j b) v8 m( V"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,- C2 y. n6 C r$ ~) o
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,/ d/ P0 y: Y' ?7 z
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,
; Y: e& y2 ~; @6 h8 M 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,8 G- P+ y/ W6 V/ Q3 x
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,
( S3 b: |' t1 C7 M |- a$ k* r 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,! w2 T- f1 w& D) p* N" w! K
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
# e* T% M3 l6 P, t$ @% M+ b
4 P+ _' d8 U: ?/ @) R/ Q) F7 ? 我们将上面的代码保存成一个以REG为后缀的文本文件,然后双击该文件导入注册表就完成了开启该计算机使用USB存储设备的操作。所有用户都可以使用USB存储设备。+ {8 L9 c; z; k$ G O
5 a) |% W; V# E) i& C% y* v2 e
四,总结:
5 d, ]6 T0 R! m" ~5 c5 T$ @# E6 w. ]1 x c/ d3 G: X
本文提供了两种方法来解决病毒或木马通过USB存储设备进行传播的问题,通过两种方法对本地计算机的USB存储设备访问权限进行了限制,使得某个用户或所有用户都无法使用USB存储设备,两种方法各有利弊。第一种是针对某个用户或用户组进行限制的,而第二种则是对该计算机所有用户限制使用USB存储设备的方法,当然对于想在整个网络中多台计算机一起进行限制的话,笔者还是建议从应用出发,使用注册表导入的方法来完成,毕竟只需要一个文件然后运行即可,通过组策略或者某些广播软件可以轻松实现,省去了要往返于所有计算机分配文件夹访问权限的操作。 |
发表于 2006-12-31 18:12
| 